Afrikanische Union verabschiedet Rahmenkonvention zu IT-Sicherheit und Datenschutz

Weitgehend unbemerkt von der Öffentlichkeit hat die Afrikanische Union (AU) diesen Sommer eine umfassende Rahmenkonvention zu den Themen Datenschutz und IT-Sicherheit verabschiedet (African Union Convention on Cyber Security and Personal Data Protection). Ende Juni hatten die 54 Staats- und Regierungschefs auf einem regulären Gipfeltreffen die Konvention beschlossen. Die Konvention muss jetzt von 15 Mitgliedsstaaten ratifiziert werden um in Kraft zu treten. Es wird voraussichtlich noch einige Jahre dauern, bis alle 54 Mitgliedsländer nationale Gesetze zur Umsetzung der Konvention verabschieden.

Der Vertrag deckt eine sehr große Spanne an Themen ab. AccessNow.org hat dankenswerterweise bereits eine Analyse der Inhalte erarbeitet, die ich hier zusammenfassen will. Sie stellen dabei fest, dass große Teile der Konvention an die Formulierungen der Datenschutzverordnung der EU angelehnt sind. Die europäischen Gesetzgeber haben eine rechtliche „Vorbildfunktion“ über die EU hinaus – das sollte bei der Überarbeitung der EU-Datenschutzreform berücksichtigt werden. Was fällt sonst noch positiv oder negativ auf?

Potenziell gut

Alle Mitgliedsstaaten müssen unter der AU-Konvention eine unabhängige, nationale Datenschutzbehörde haben und Daten dürfen nur für konkrete, gerechtfertigte Gründe verarbeitet werden. Auch ein Einspruchsrecht gegen die Speicherung und Verarbeitung persönlicher Daten ist vorgesehen. Access kritisiert aber die fehlenden klaren Definitionen von verschiedenen Datenkategorien und Verfahrensregeln in dem Vertragstext.

Beim Thema „Cybersecurity“ wird auf den Schutz von Menschenrechten hingewiesen, was das Recht auf Privatsphäre explizit mit einschließt. Das ist absolut zu begrüßen, da Privatsphäre in der Charta der AU nicht konkret genannt wird, wie Access schreibt. Außerdem verlangt die Konvention „Mutual Legal Assistance Agreements“ für den internationalen Austausch von Daten, was potenziell die Rechtssicherheit erhöht.

Potenziell schlecht

Der Abschnitt über Kinderpornografie (Art. 29/3) ist sehr offen formuliert könnte Folgen für die Haftung von Internetanbietern haben und die Möglichkeit für weitreichende Internetsperren nach sich ziehen, je nach dem wie er umgesetzt wird.

Leider legt die Konvention keine Grenzen für den Datentausch zwischen Unternehmen und Regierungen fest (Art. 25-27). Die Regelungskompetenzen beim Thema IT-Sicherheit werden auch nicht klar begrenzt (Art. 25/2). Datenschutz muss im Kontext von „Cybersicherheit“ klar geregelt werden, um wirksam zu sein.

Völlig daneben

Persönliche Daten dürfen nur mit ausdrücklicher, freier Zustimmung verarbeitet werden. Leider ergänzt die Konvention diese Grundregel mit den Ausnahmen „öffentliches Interesse“ oder „zur Ausübung hoheitlicher Autorität“ (Art. 14/2.i). Das ist ein riesiges Einfallstor für den Missbrauch durch Regierung, die allzu gerne das öffentliche Interesse als ihr eigenes Interesse ansehen.

Unter Inhaltseinschränkungen fallen in dem Text auch über Computer getätigte Beleidigungen auf Grund von Ethnie, Hautfarbe, Religion oder politischer Meinung. Doch der Begriff „Beleidigung“ wird nicht definiert, was der Einschränkung der Meinungsfreiheit Tür und Tor öffnet, wie Access erklärt:

The Convention bans use of a computer to “insult” someone for reasons of race, color, national/ethnic origin, religion, or political opinion. It never defines “insult,” leaving this subjective provision to criminalize speech instead of a criminal act. In conjunction with the following provision, which disallows intentionally approving, denying, or justifying “acts constituting genocide or crimes against humanity,” these ill-conceived and harmful provisions will only serve to limit free expression and chill expression online.

In Artikel 31/2.a wird gefordert, dass das Strafmaß erhöht wird, wenn eine Straftat über ein „digitales Kommunikationsmedium“ involviert ist. Es bleibt unverständlich, warum die Benutzung eines Computers höhere Strafen rechtfertigt. Zudem könnten Whistleblower und Journalisten unter der Regelung in Artikel 29/2 leiden, die die Nutzung von betrügerisch erlangten Daten einschränkt. Wer Dokumente leakt wird so kriminalisiert, was in vielen afrikanischen Staaten problematisch ist, wenn es keine klar geregelte Informationsfreiheit gibt. Eine Ausnahme ist nur für lizensierte Journalisten vorgesehen (Art. 14/3), was viel Blogger und unabhängige Stimmen diskriminiert.

Die gesamte Analyse von Access auf Englisch hier.